|
2012,02,10, Friday
ここ数日、tsuduki.comにサイバー攻撃を受けています。
ありそうなurlに決め打ちでアクセスして、脆弱性のあるPHPスプリクトを実行し、サーバーに何らかのウイルス(web上の数少ない情報によるとSPAMメールを送る踏み台にするためのものらしい)を仕込もうとするもののようです。 決め打ちで入れられていたアドレスは、ルート下の以下のようなurlでした。 検索したところ、世界的にメジャーなMySQLやPostgreSQL、WordPressやMovableTypeなどをインストールした時に自動的に作られるパスのようです。 なおルート下wwwディレクトリだけでなく、www/blogディレクトリ、www//blogディレクトリなどにも同様の攻撃がありました。 こうしたディレクトリ、ファイル名を自サーバー上に設置されている方はご注意下さい。 どうも一行目のmuieblackcatというのがウイルスそのもののようなので、このファイル名が自分のサーバー上にないか調べてみるというのがいいと思います。 /www/muieblackcat /www//admin/index.php /www//admin/pma/index.php /www//admin/phpmyadmin/index.php /www//db/index.php /www//dbadmin/index.php /www//myadmin/index.php /www//mysql/index.php /www//mysqladmin/index.php /www//typo3/phpmyadmin/index.php /www//phpadmin/index.php /www//phpMyAdmin/index.php /www//phpmyadmin/index.php /www//phpmyadmin1/index.php /www//phpmyadmin2/index.php /www//pma/index.php /www//web/phpMyAdmin/index.php /www//web/index.php /www//php-my-admin/index.php /www//websql/index.php /www//phpmyadmin/index.php /www//phpMyAdmin/index.php /www//phpMyAdmin-2/index.php /www//php-my-admin/index.php /www//phpMyAdmin-2.2.3/index.php /www//phpMyAdmin-2.2.6/index.php /www//phpMyAdmin-2.5.1/index.php /www//phpMyAdmin-2.5.4/index.php /www//phpMyAdmin-2.5.5-rc1/index.php /www//phpMyAdmin-2.5.5-rc2/index.php /www//phpMyAdmin-2.5.5/index.php /www//phpMyAdmin-2.5.5-pl1/index.php /www//phpMyAdmin-2.5.6-rc1/index.php /www//phpMyAdmin-2.5.6-rc2/index.php /www//phpMyAdmin-2.5.6/index.php /www//phpMyAdmin-2.5.7/index.php /www//phpMyAdmin-2.5.7-pl1/index.php ▽続きの下に、実際にアクセスのあったエラーログと、IPアドレスから検索したクライアントの情報を書いておきます。 これらに出てくるクライアントも同じウイルスに感染しているものと思われます。 IT系企業らしいところが多いのがなんともはや…… 続き▽ |